ProHoster > Blog > vaovao amin'ny Internet > Nianjera tao amin'ny OpenBSD, DragonFly BSD ary Electron noho ny fahataperan'ny certificat root IdenTrust

Nianjera tao amin'ny OpenBSD, DragonFly BSD ary Electron noho ny fahataperan'ny certificat root IdenTrust

Niteraka olana tamin'ny fanamarinana mari-pankasitrahana Let's Encrypt amin'ny tetikasa mampiasa OpenSSL sy GnuTLS dikan-teny tranainy kokoa ny fanafoanana ny taratasy fanamarinana faka IdenTrust (DST Root CA X3), nampiasaina hanasoniavana ny mari-pamantarana fototra Let's Encrypt CA. Ny olana koa dia nisy fiantraikany teo amin'ny tranomboky LibreSSL, izay tsy niraharaha ny traikefa taloha mifandraika amin'ny tsy fahombiazana izay niseho taorian'ny nahazoan'ny Sectigo (Comodo) CA ny mari-pankasitrahana faka AddTrust ho lany andro.

Aoka hotsaroantsika fa ao amin'ny OpenSSL dia mamoaka hatramin'ny sampana 1.0.2 inclusive ary ao amin'ny GnuTLS alohan'ny hamoahana ny 3.6.14, dia nisy bug izay tsy namela ny certificat nasiana sonia mba hokarakaraina araka ny tokony ho izy raha toa ka lany andro ny iray amin'ireo taratasy fanamarinana fototra ampiasaina amin'ny sonia. , na dia voatahiry rojom-pitokisana aza ireo manan-kery hafa (raha ny Let's Encrypt, ny fahataperan'ny taratasy fanamarinana faka IdenTrust dia manakana ny fanamarinana, na dia manana fanohanana ny mari-pamantarana fototry ny Let's Encrypt aza ny rafitra, manankery hatramin'ny 2030). Ny votoatin'ny bug dia ny dikan-teny taloha an'ny OpenSSL sy GnuTLS dia nanamarika ny taratasy fanamarinana ho toy ny rojo tsipika, raha araka ny RFC 4158 kosa, ny taratasy fanamarinana dia afaka maneho tabilao boribory miparitaka miaraka amin'ny vatofantsika fitokisana marobe izay tokony hodinihina.

Mba hamahana ny tsy fahombiazana dia atolotra ny famafana ny taratasy fanamarinana "DST Root CA X3" ao amin'ny fitahirizana rafitra (/etc/ca-certificates.conf sy /etc/ssl/certs), ary avy eo dia araho ny baiko "fanavaozana". -ca-certificats -f -v” "). Ao amin'ny CentOS sy RHEL, azonao atao ny manampy ny taratasy fanamarinana "DST Root CA X3" amin'ny lisitra mainty: fitokisana dump -sivana "pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Ny sasany amin'ireo fianjerana hitanay dia nitranga taorian'ny lany ny mari-pankasitrahana fototra IdenTrust:

  • Ao amin'ny OpenBSD, ny utility syspatch, ampiasaina amin'ny fametrahana fanavaozana rafitra binary, dia nijanona tsy niasa. Ny tetikasa OpenBSD androany dia namoaka paty maika ho an'ny sampana 6.8 sy 6.9 izay mamaha olana amin'ny LibreSSL amin'ny fanamarinana ireo mari-pankasitrahana vita sonia, iray amin'ireo mari-pamantarana fototra ao amin'ny rojo fitokisana izay efa lany daty. Ho famahana ny olana dia aroso ny hifindra avy amin'ny HTTPS mankany amin'ny HTTP ao amin'ny /etc/installurl (tsy manohintohina ny filaminana izany, satria voamarina amin'ny sonia nomerika koa ny fanavaozana) na mifidy fitaratra hafa (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Azonao atao koa ny manaisotra ny taratasy fanamarinana fakany DST Root CA X3 lany andro ao amin'ny rakitra /etc/ssl/cert.pem.
  • Ao amin'ny DragonFly BSD, misy olana mitovy amin'izany rehefa miara-miasa amin'ny DPorts. Rehefa manomboka ny mpitantana fonosana pkg dia misy hadisoana fanamarinana fanamarinana miseho. Nampiana androany ny fanamboarana ny sampana master, DragonFly_RELEASE_6_0 sy DragonFly_RELEASE_5_8. Ho famahana olana dia azonao atao ny manala ny taratasy fanamarinana DST Root CA X3.
  • Tapaka ny fizotran'ny fanamarinana ny mari-pankasitrahana Let's Encrypt amin'ny fampiharana mifototra amin'ny sehatra Electron. Ny olana dia raikitra tamin'ny fanavaozana 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Ny fizarana sasany dia manana olana amin'ny fidirana amin'ny fitahirizana fonosana rehefa mampiasa ny mpitantana fonosana APT mifandraika amin'ny dikan-teny tranainy amin'ny tranomboky GnuTLS. Debian 9 dia nisy fiantraikany tamin'ny olana, izay nampiasa fonosana GnuTLS tsy voafehy, izay niteraka olana rehefa miditra amin'ny deb.debian.org ho an'ireo mpampiasa izay tsy nametraka ny fanavaozana ara-potoana (natolotra ny fanamboarana gnutls28-3.5.8-5+deb9u6. ny 17 septambra). Ho famahana olana dia asaina manaisotra ny DST_Root_CA_X3.crt amin'ny rakitra /etc/ca-certificates.conf.
  • Nikorontana ny fiasan'ny acme-client amin'ny kitapo fanaparitahana amin'ny famoronana firewall OPNsense; notaterina mialoha ny olana, saingy tsy nahavita namoaka patch ara-potoana ny mpamorona.
  • Ny olana dia nisy fiantraikany tamin'ny fonosana OpenSSL 1.0.2k tao amin'ny RHEL/CentOS 7, saingy herinandro lasa izay dia nisy fanavaozana ny ca-certificates-7-7.el2021.2.50_72.noarch fonosana ho an'ny RHEL 7 sy CentOS 9, izay niavian'ny IdenTrust. nesorina ny taratasy fanamarinana, i.e. nosakanana mialoha ny fisehoan'ny olana. Nisy fanavaozana mitovy amin'izany navoaka herinandro lasa izay ho an'ny Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 ary Ubuntu 18.04. Satria navoaka mialoha ny fanavaozana, ny olana amin'ny fanamarinana ny mari-pankasitrahana Let's Encrypt dia tsy misy fiantraikany amin'ireo mpampiasa sampana RHEL/CentOS sy Ubuntu izay tsy mametraka fanavaozam-baovao tsy tapaka.
  • Tapaka ny dingana fanamarinana fanamarinana ao amin'ny grpc.
  • Tsy nahomby ny fananganana sehatra Cloudflare Pages.
  • Olana amin'ny Amazon Web Services (AWS).
  • Ireo mpampiasa DigitalOcean dia manana olana amin'ny fifandraisana amin'ny angon-drakitra.
  • Nirodana ny sehatra rahona Netlify.
  • Olana amin'ny fidirana amin'ny serivisy Xero.
  • Tsy nahomby ny fikasana hametraka fifandraisana TLS amin'ny API Web an'ny serivisy MailGun.
  • Fikorontanana amin'ny dikan-tsarimihetsika macOS sy iOS (11, 13, 14), izay tsy tokony ho voan'ny olana amin'ny teoria.
  • Tsy nahomby ny serivisy catchpoint.
  • Hadisoana manamarina ny fanamarinana rehefa miditra amin'ny PostMan API.
  • Nianjera ny Firewall Guardian.
  • Tapaka ny pejy fanohanana monday.com.
  • Nirodana ny sehatra Cerb.
  • Tsy nahomby tamin'ny Google Cloud Monitoring.
  • Olana amin'ny fanamarinana fanamarinana ao amin'ny Cisco Umbrella Secure Web Gateway.
  • Olana mifandray amin'ny Bluecoat sy Palo Alto proxy.
  • OVHcloud dia manana olana amin'ny fifandraisana amin'ny OpenStack API.
  • Olana amin'ny famoronana tatitra ao amin'ny Shopify.
  • Misy olana amin'ny fidirana amin'ny Heroku API.
  • Nianjera ny Ledger Live Manager.
  • Fahadisoana fanamarinana fanamarinana ao amin'ny Facebook App Developer Tools.
  • Olana ao amin'ny Sophos SG UTM.
  • Olana amin'ny fanamarinana fanamarinana ao amin'ny cPanel.

Source: opennet.ru

Add a comment